I ricercatori della sicurezza informatica stanno avvertindo di una campagna di phishing SMS “diffusa e in corso” che ha preso di mira gli utenti a pedaggio negli Stati Uniti per un furto finanziario da metà ottobre 2024.
“Gli attacchi di soffocamento a pedaggio vengono eseguiti da più attori di minacce inspire finanziariamente usando il package di smishing sviluppato dal” duo di Wang Yu “,” i ricercatori di Cisco Talos Azim Khodjibaev, Chetan Raghuprasad e Joey Chen valutato con moderata fiducia.
IL campagne di phishingper la compagnia, impersona i sistemi di raccolta elettronica degli Stati Uniti come E-ZPASS, inviando messaggi SMS e iMessages di mela a persone di Washington, Florida, Pennsylvania, Virginia, Texas, Ohio, Illinois e Kansas su un pedaggio non pagato e clicca su un falso hyperlink inviato nella chat.
Vale la pena notare che alcuni aspetti della campagna di phishing a pedaggio erano precedentemente evidenziato Dal giornalista di sicurezza Brian Krebs nel gennaio 2025, con l’attività risalente a un servizio di phishing SMS con sede in Cina chiamato Lighthouse che è pubblicizzato su Telegram.
Mentre Apple iMessage disabilita automaticamente i collegamenti nei messaggi ricevuti da mittenti sconosciuti, i testi smishing sollecitano i destinatari a rispondere con “y” al nice di attivare il collegamento – una tattica osservata nei package di phishing come Darcula E Xiū gǒu.
Se la vittima dovesse fare clic sul hyperlink e visitare il dominio, viene richiesto di risolvere una falsa sfida Captcha basata su immagini, dopo di che vengono reindirizzate a una pagina E-ZPASS falsa (advert esempio, “EZP-VA (.LCOM” o “E-ZPass (.) COM-Etcjr (.) Xin”) dove viene chiesto di entrare nel loro nome e il codice per accedere alla bolletta.
Agli obiettivi viene quindi chiesto di procedere ulteriormente per effettuare il pagamento su un’altra pagina fraudolenta, a quel punto tutte le informazioni personali e finanziarie inserite vengono sottratte agli attori delle minacce.
Talos ha osservato che gli attori di minacce a number of stanno gestendo le campagne Smishing a pedaggio facendo probabilmente uso di un package di phishing sviluppato dal duo Yu di Wang e che ha osservato package di soffochi simili utilizzati da un altro gruppo cinese di criminalità informatica organizzata noto come Triade Smishing.
È interessante notare che il duo di Wang Yu è anche presumibilmente il creatore dei package di phishing utilizzati da Smishing Triade, per ricercatore di sicurezza Grant Smith. “Il creatore è uno studente di informatica attuale in Cina che sta usando le abilità che sta imparando a creare un bel centesimo sul lato”, ha rivelato Smith in un esteso analisi Nell’agosto 2024.
La triade Smishing è conosciuto per condurre Attacchi di soffochi su larga scala Focusing on per i servizi postali in almeno 121 paesi, utilizzando esche di consegna dei pacchetti non riusciti ai destinatari dei messaggi di coassiale nel fare clic su collegamenti fasulli che richiedono le loro informazioni personali e finanziarie con il pretesto di una presunta quota di servizio per la ripartizione.
Inoltre, gli attori delle minacce che usano questi package hanno tentato per iscrivere i dettagli della carta delle vittime in un portafoglio cell, consentendo loro di incassare ulteriormente i loro fondi su vasta scala usando una tecnica nota come TAP di fantasmi.
È stato anche scoperto che i package di phishing sono battuti in quanto le informazioni sulla carta di credito/debito catturate sono anche esfiltrate ai creatori, una tecnica nota come doppio furto.
“Il duo di Wang Yu ha realizzato e progettati package di smishing specifici e ha venduto accesso a questi package sui loro canali di telegramma”, ha detto Talos. “I package sono disponibili con various opzioni di infrastruttura, al prezzo di $ 50 ciascuno per uno sviluppo completo, $ 30 ciascuno per lo sviluppo proxy (quando il cliente ha un dominio e un server personale), $ 20 ciascuno per gli aggiornamenti della versione e $ 20 per tutti gli altri supporti vari.”
A partire dal marzo 2025, si ritiene che il gruppo di criminalità e-crime abbia concentrato i loro sforzi su un nuovo package di phishing del faro che è orientato alla raccolta di credenziali da banche e organizzazioni finanziarie in Australia e nella regione Asia-Pacifico, secondo Silent Push.
Gli attori delle minacce affermano inoltre di avere “oltre 300 membri del personale della reception in tutto il mondo” per supportare vari aspetti degli schemi di frode e cassa associati al package di phishing.
“Smishing Triad sta anche vendendo i suoi package di phishing advert altri attori delle minacce allineati maliziosamente tramite Telegram e probabilmente altri canali”, la società ” disse. “Queste vendite rendono difficile attribuire i package a qualsiasi sottogruppo, quindi i siti sono attualmente tutti attribuiti qui sotto l’ombrello della Triade Smishing.”
In un rapporto pubblicato il mese scorso, Prodoft rivelato Quel faro condivide le sovrapposizioni tattiche con package di phishing come Lucid e Darcula, e che opera indipendentemente dal gruppo di xinxina, il gruppo di criminalità informatica dietro il package lucido. La società Swiss Cybersecurity sta monitorando il duo di Wang Yu (alias Lao Wang) come Larva-241.
“Un’analisi degli attacchi condotti usando i pannelli Lucid e Darcula ha rivelato che il faro (Lao Wang / Wang Duo Yu) condivide somiglianze significative con il gruppo di xinxina in termini di concentrating on, touchdown web page e modelli di creazione del dominio”, ha osservato ProdAfft.
Cybersecurity Firm Resecurity, che è stato il primo a documentare Triade fonte Nel 2023 e ha anche monitorato le campagne a pedaggio della truffa, ha affermato che il sindacato Smishing ha utilizzato oltre 60.000 nomi di dominio, rendendo difficile per Apple e Google per bloccare l’attività fraudolenta in modo efficace.
“L’uso dei servizi SMS in blocco sotterraneo consente ai criminali informatici di ridimensionare le loro operazioni, mirando a milioni di utenti contemporaneamente” disse. “Questi servizi consentono agli aggressori di inviare in modo efficiente migliaia o milioni di messaggi fraudolenti di messaggistica istantanea, rivolgendo agli utenti individualmente o gruppi di utenti in base a dati demografici specifici in varie regioni.”
